Firewall log file et Mac adresse

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Firewall log file et Mac adresse

Messagepar olivier.baltus » 24 Juil 2005 22:21

Bonjour,


Pourquoi le champs Mac Adress n'est-il pas remplis dans le log file du Firewall?


Merci
olivier.baltus
Matelot
Matelot
 
Messages: 10
Inscrit le: 15 Août 2004 10:24

Messagepar jdh » 24 Juil 2005 22:44

Je ne connais pas IPCOP. Je ne connais donc pas le log de firewall.

Mais je réponds autour d'une réflexion sur les MAC adresses.

Une MAC adresse n'a d'intéret que sur le réseau local.
En effet dès qu'on franchit un routeur, la MAC adresse source (ou destination) est remplacé par celle du routeur.

Dans un paquet IP, il y a les adresses IP source et destination et aussi avant les adresses MAC sources et destination. Or, lors de la résolution ARP, nécessaire pour connaitre comment joindre l'adresse IP, le routeur qui sait accéder à l'adresse IP destination demandée indique sa propre adresse MAC en retour à la requete ARP. Ce qui permet à l'émetteur de contruire la totalité du paquet avec chaque élément nécessaire : les MAC adresses et IP adresses.

En définitive seule les IP ont donc de l'intéret à priori dans un log. D'où ...

Le seul outil s'intéressant réellement aux adresses MAC est DHCP, bien sur (hors ARP bien évidemment). Il permet, bien sur, de fournir des adresses IP selon ou non les adresses MAC, et faire ainsi un pseudo réseau statique en laissant les PC en client DHCP. L'adressage statique est cependant conseillé pour les routeurs et serveurs.

A noter cependant, l'intéret de "ARP spoofing" dans un réseau local qui permet de tromper les switchs pour les amener à fonctionner un peu comme un hub. Et, par là, écouter un traffic voire intervenir à l'intérieur de celui-ci : attaque dite "man in the middle". Un (ensemble d')outil connu pour cela : dsniff.

Il y a dans le domaine linux 2 logiciels (plus sérieux) qui peuvent avoir aussi de l'intéret concernant les MAC adresses : arpwatch et arpsnmp. Le premier permet de contruire une table des MAC adresses (avec IP correspondantes) circulant dans un réseau local (y compris en réseau switché). Le second permet d'interroger un routeur pour connaitre sa table ARP et donc connaître les adresses MAC du réseau distant.

Si tu veux traquer les adresses MAC inconnues, arpwatch s'impose donc.

En ce qui me concerne, je recommande dans un soft de gestion de parc de noter l'adresse MAC de chaque PC, serveur, imprimante, élément actif. Car l'utilisateur "moyen" n'est pas capable de la changer en général (et en caporal !). On ne sait jamais ... pour le jour où on veut se prendre pour Big Brother ...


Je ne réponds pas exactement à ta question mais ...
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar olivier.baltus » 25 Juil 2005 09:21

Merci pour ta reponse. Mais justement, je voudrais localiser dans le logfile les tentatives d'instrusion sur mon reseau wifi.
olivier.baltus
Matelot
Matelot
 
Messages: 10
Inscrit le: 15 Août 2004 10:24

Messagepar jmripert » 02 Août 2005 11:42

Quel intérêt de connaître la mac adress ?
On peut très facilement la changer... si un "pirate" type très méchant... te pirate... il saura faire cela...
jmripert
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 168
Inscrit le: 16 Mars 2005 11:42
Localisation: Haute-Savoie


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité